Chapter 17 LDAP �f�B��N�g��

C H A P T E R
17
LDAP ディレクトリ統合
ディレクトリ（電話帳）は、多数の読み取りや検索、および随時の書き込みや更新用に最適化される特
殊なデータベースです。ディレクトリには、一般に、社員の情報、ユーザポリシー、ユーザ特権、グ
ループメンバシップなど、頻繁に変更されないデータが企業ネットワーク上に保存されます。
ディレクトリは拡張可能です。つまり、ディレクトリに保存された情報のタイプを変更し、拡大するこ
とができます。「ディレクトリスキーマ」という語は、保存されている情報のタイプ、そのコンテナ
（または属性）、およびユーザやリソースとの関係を定義します。
Lightweight Directory Access Protocol（LDAP）は、ディレクトリに保存されている情報にアクセス
し、変更するための標準方式をアプリケーションに提供します。この機能により、企業は、すべての
ユーザ情報を、複数のアプリケーションで利用できる単一リポジトリに集中化させることができます。
追加、移動、および変更が簡単なので、保守コストも大幅に削減されます。
この章では、Cisco Unified Communication Manager（Unified CM）に基づく Cisco Unified
Communications システムを社内 LDAP ディレクトリと統合する場合の、設計上の主な原則について説
明しています。この章の構成は、次のとおりです。
• 「ディレクトリ統合とは」（P.17-2）
ここでは、一般的な企業の IT 部門における社内 LDAP ディレクトリとの統合に関して、さまざま
な要件を分析します。
• 「IP テレフォニーエンドポイントのディレクトリアクセス」（P.17-3）
ここでは、Cisco Unified Communications エンドポイントのディレクトリアクセスを有効にする
技術的なソリューションについて説明し、そのソリューションに基づく設計上のベストプラク
ティスを示します。
• 「Unified CM とのディレクトリ統合」（P.17-5）
ここでは、LDAP 同期機能や LDAP 認証機能などを含む、Cisco Unified CM でのディレクトリ統
合に関して、技術的なソリューションについて説明し、設計上のベストプラクティスを示します。
この章で説明する考慮事項は、Cisco Unified CM とそれにバンドルされているアプリケーション
（Cisco エクステンションモビリティ、Cisco Unified Communications Manager Assistant 、
WebDialer、Bulk Administration Tool、および Real-Time Monitoring Tool）に適用されます。
Cisco Unity については、次の Web サイトで入手可能な『Cisco Unity Design Guide』、および『Cisco
『Active Directory Capacity Planning』、
『Cisco Unity Data Architecture
Unity Data and the Directory』、
and How Cisco Unity Works』の各ホワイトペーパーを参照してください。
http://www.cisco.com
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-1
第 17 章
LDAP ディレクトリ統合
この章の新規情報
この章の新規情報
この章の項の多くは、読みやすさを高めるために再編成して書き直したものであり、新しい情報も一部
追加されています。LDAP ディレクトリと Cisco Unified Communications システムの統合に取り掛か
る前に、この章全体を読むことをお勧めします。
ディレクトリ統合とは
音声アプリケーションと社内 LDAP ディレクトリとの統合は、多くの企業の IT 部門にとって一般的な
作業です。ただし、統合の正確な範囲は企業によって異なるため、図 17-1 に示すように、1 つ以上の
具体的かつ独立した要件として表すことができます。
図 17-1
ディレクトリ統合のさまざまな要件
IT Group
M
IP
IP
LDAP
IP
IP
153279
IP
たとえば、1 つの一般的な要件は、IP 電話またはその他の音声エンドポイントやビデオエンドポイン
トからユーザルックアップ（「個人別電話帳」サービスと呼ばれることもあります）を有効にし、ユー
ザがディレクトリで番号を検索した後に、連絡先に迅速にダイヤルできるようにすることです。
もう 1 つの要件は、社内ディレクトリから音声アプリケーションやビデオアプリケーションのユーザ
データベースを、ユーザに自動的に提供することです。この方法により、社内ディレクトリの変更のた
びにコアユーザ情報を手動で追加、削除、または修正する必要がなくなります。
一般に、社内ディレクトリクレデンシャルを使用して、音声アプリケーションやビデオアプリケー
ションのエンドユーザと管理者を認証することも必要です。ディレクトリ認証を有効にすることで、
IT 部門は 1 つのログオン機能を提供し、さまざまな企業アプリケーションに対して各ユーザが保持す
る必要のあるパスワードの数を減らすことができます。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-2
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
IP テレフォニーエンドポイントのディレクトリアクセス
表 17-1 に示すように、Cisco Unified Communications システムに関係する場合、「ディレクトリアク
セス」という用語は、IP テレフォニーエンドポイントのユーザルックアップの要件を満たすメカニズ
ムおよびソリューションを意味します。また、「ディレクトリ統合」という用語は、ユーザプロビジョ
ニングおよび（エンドユーザと管理者の両方の）認証の要件を満たすメカニズムおよびソリューショ
ンを意味します。
表 17-1
ディレクトリの要件とシスコのソリューション
要件
シスコのソリューション
エンドポイントのユーザルック
アップ
ディレクトリアクセス
Cisco Unified CM の機能
Cisco Unified IP Phone Services
SDK
ユーザプロビジョニング
ディレクトリ統合
LDAP 同期
IP テレフォニーエンドユーザ
の認証
ディレクトリ統合
LDAP 認証
IP テレフォニーアプリケーショディレクトリ統合
ン管理者の認証
LDAP 認証
この章では、これ以降、Cisco Unified CM に基づく Cisco Unified Communications システムで、これ
らの要件にどのように対処するかについて説明します。
（注）「ディレクトリ統合」という用語については、管理ポリシーおよびセキュリティポリシーを集中化する
ために、Microsoft Active Directory ドメインにアプリケーションサーバを追加する機能といった解釈
もあります。Cisco Unified CM は、カスタマイズした組み込みオペレーティングシステムで実行する
アプライアンスであり、Microsoft Active Directory ドメインに追加できません。Cisco Unified CM の
サーバ管理は、Cisco Real-Time Monitoring Tool（RTMT）によって行われます。アプリケーションに
合わせた強力なセキュリティポリシーが組み込みオペレーティングシステム内にすでに実装されてい
ます。
IP テレフォニーエンドポイントのディレクトリアクセス
この項では、Cisco Unified Communications エンドポイント（Cisco Unified IP Phone など）からユー
ザルックアップを実行するように、LDAP 準拠のディレクトリサーバへの社内ディレクトリアクセス
を設定する方法について説明します。Unified CM やその他の IP テレフォニーアプリケーションが
ユーザプロビジョニングおよび認証のために社内ディレクトリに統合されているかどうかに関係なく、
この項で説明しているガイドラインが適用されます。
ディスプレイ画面を持つ Cisco Unified IP Phone では、ユーザが電話機の Directories ボタンを押すと、
ユーザディレクトリを検索できます。IP Phone は、Hyper-Text Transfer Protocol（HTTP; ハイパーテ
キスト転送プロトコル）を使用して、要求を Web サーバに送信します。Web サーバからの応答には、
電話機が解釈して表示する特定の Extensible Markup Language（XML）オブジェクトが含まれていま
す。
デフォルトでは、Cisco Unified IP Phone は、Unified CM の組み込みデータベースに対してユーザ
ルックアップを実行するように設定されます。ただし、社内 LDAP ディレクトリでルックアップを実
行するように、この設定を変更できます。変更した場合、電話機は HTTP 要求を外部 Web サーバに送
信します。このサーバはプロキシとして動作し、要求を LDAP 照会に変換します。そして、その
LDAP 照会が社内ディレクトリによって処理されます。LDAP 応答は、Web サーバによって XML オ
ブジェクトにカプセル化され、HTTP を使用して電話機に返信されて、エンドユーザに伝えられます。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-3
第 17 章
LDAP ディレクトリ統合
IP テレフォニーエンドポイントのディレクトリアクセス
図 17-2 では、Unified CM が社内ディレクトリに統合されていない配置において、このメカニズムを
示しています。このシナリオでは、Unified CM がメッセージ交換にかかわっていないことに注意して
ください。図 17-2 の右側に表示されている Unified CM Web ページの認証メカニズムは、ディレクト
リルックアップの設定とは関係ありません。
図 17-2
Cisco Unified IP Phone Services SDK を使用する Cisco Unified IP Phone のディレクト
リアクセス
Cisco IP Phone Services SDK
Cisco
Unified CM
䉰䊮䊒䊦
䉴䉪䊥䊒䊃
LDAP
䊦䉾䉪䉝䉾䊒
M
LDAP LDAP COM
䉥䊑䉳䉢䉪䊃
COM
␠ౝ
䊂䉞䊧䉪䊃䊥
IIS
HTTP
Microsoft
Windows
䉰䊷䊋
HTTPS
䊡䊷䉱
䊦䉾䉪䉝䉾䊒
⹺⸽
㪠㪧㩷䊐䉤䊮
Cisco Unified CM User Options䇮
Cisco Unified CM Administrator
153280
Directories
䊗䉺䊮
図 17-2 に示す例では、Web サーバのプロキシ機能は、Cisco Unified IP Phone Services Software
Development Kit（SDK; ソフトウェア開発キット）バージョン 3.3(4) 以降に組み込まれている Cisco
LDAP Search Component Object Model（COM; コンポーネントオブジェクトモデル）サーバによっ
て提供されます。次の Web サイトの Cisco Developer Community から最新の Cisco Unified IP Phone
Services SDK をダウンロードできます。
http://developer.cisco.com/web/ipps/home
IP Phone Services SDK は、IIS 4.0 以降を実行する Microsoft Windows Web サーバにはインストール
できますが、Unified CM サーバにはインストールできません。SDK には、単純なディレクトリルッ
クアップ機能を提供するサンプルスクリプトが入っています。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-4
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
IP Phone Services SDK を使用する社内ディレクトリルックアップサービスを設定するには、次の手順
を実行します。
ステップ 1
社内 LDAP ディレクトリを指すようにサンプルスクリプトのいずれかを修正するか、SDK に付属の
『LDAP Search COM Programming Guide 』を使用して独自のスクリプトを作成します。
ステップ 2
Unified CM で、外部 Web サーバ上のスクリプトの URL を指すように URL Directories パラメータ
（[System] > [Enterprise Parameters]）を設定します。
ステップ 3
（注）
変更を有効にするために電話機をリセットします。
ユーザのサブセットだけにサービスを提供する場合は、Enterprise Parameters ページではなく、Phone
Configuration ページ内で URL Directories パラメータを直接設定します。
まとめると、Cisco Unified IP Phone Services SDK によるディレクトリアクセスには、次の設計上の
考慮事項が適用されます。
• ユーザルックアップは、LDAP 準拠の社内ディレクトリに対してサポートされる。
• Microsoft Active Directory に照会する場合、スクリプトがグローバルカタログサーバを指すよう
にし、スクリプト設定でポート 3268 を指定することにより、グローバルカタログに対してルック
アップを実行できる。この方法では、通常はルックアップが高速化します。グローバルカタログ
に記載されているユーザの属性がすべてではないことに注意してください。詳細については、
Microsoft Active Directory のマニュアルを参照してください。
• この機能が有効であっても Unified CM に影響はなく、LDAP ディレクトリサーバに最小限の影響
しか及ばない。
• SDK に付属のサンプルスクリプトでは、最小限のカスタマイズだけが可能である（たとえば、返
送されたすべての番号の前に番号並びを付けられる）。もっと高度な操作のためには、カスタムス
クリプトを作成する必要があり、スクリプトの作成に役立つプログラミングガイドが SDK に付属
しています。
• この機能は、社内ディレクトリに対する Unified CM ユーザのプロビジョニングまたは認証を必要
としない。
Unified CM とのディレクトリ統合
この項では、社内 LDAP ディレクトリに対するユーザプロビジョニングと認証を考慮した、
Cisco Unified CM でのディレクトリ統合のメカニズムおよびベストプラクティスについて説明しま
す。この項では、次のトピックについて取り上げます。
• 「Cisco Unified Communications Directory のアーキテクチャ」（P.17-7）
ここでは、Unified CM 7.x ユーザ関連アーキテクチャの概要を示します。
• 「LDAP 同期」（P.17-10）
ここでは、LDAP 同期の機能について説明し、この機能の配置に関する設計上のガイドラインを
Microsoft Active Directory に関する追加の考慮事項と共に示します。
• 「LDAP 認証」（P.17-18）
ここでは、LDAP 認証の機能について説明し、この機能の配置に関する設計上のガイドラインを
Microsoft Active Directory に関する追加の考慮事項と共に示します。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-5
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
表 17-2 に、Cisco Unified Communication Manager での同期と認証用に現在サポートされている
LDAP ディレクトリを示します。
表 17-2
LDAP ディレクトリのサポート
LDAP ディレクトリの
タイプ
Cisco Unified CM 5.x Cisco Unified CM 6.x Cisco Unified CM 7.x
Microsoft AD 2000
Microsoft AD 2003
Microsoft AD 2008
Microsoft ADAM 2003
Microsoft LDS 2008
あり
Netscape 4.x
あり
あり
サポート終了1
iPlanet 5.0
あり
あり
サポート終了 1
iPlanet 5.1
あり
あり
あり
SunOne 6.x
なし
あり
あり
OpenLDAP 2.3.39
OpenLDAP 2.4
なし
なし
あり2
あり
あり
Microsoft ADAM およ
び LDS には、Cisco
Unified CM 7.1(3) 以降
のリリースが必要です。
SunOne 5.2
1. ディレクトリベンダーによると、このソリューションは販売終了になりました。
2. このディレクトリタイプは、Cisco Unified CM 7.1(2) 以降のリリースだけでサポートされています。
（注）
表 17-2 に示されているすべての Microsoft Directory 製品には、Cisco Unified CM による同等のサ
ポートがあります。この文書内の AD の参照はすべて、この表内のすべての Microsoft 製品に適用でき
ます。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-6
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
Cisco Unified Communications Directory のアーキテクチャ
図 17-3 は、Unified CM クラスタの基本アーキテクチャを示しています。組み込みデータベースには、
デバイス関連データ、コールルーティング、機能のプロビジョニング、およびユーザプロファイルな
ど、すべての設定情報が保存されます。データベースは CM クラスタ内のすべてのサーバ上に存在し、
パブリッシャサーバからすべてのサブスクライバサーバに自動的に複製されます。
図 17-3
Cisco Unified CM のアーキテクチャ
Cisco Unified CM 䉪䊤䉴䉺
ȑȖȪȃǷȣ
Cisco Unified CM
䉰䊷䊋
IP
M
䊂䊋䉟䉴⸳ቯ
䉮䊷䊦㩷䊦䊷䊁䉞䊮䉫
㪆ᯏ⢻
M
⚵䉂ㄟ䉂
䊂䊷䉺䊔䊷䉴 DB
䊡䊷䉱㩷䊒䊨䊐䉜䉟䊦
ⶄ㩷㩷㩷⵾
M
DB
䉰䊑䉴䉪䊤䉟䊋 1
M
M
DB
䉰䊑䉴䉪䊤䉟䊋 2
153282
M
デフォルトでは、Unified CM Administration Web インターフェイスを介してすべてのユーザを手動で
パブリッシャデータベースにプロビジョニングします。Cisco Unified CM には、次の 2 つのユーザタ
イプがあります。
• エンドユーザ：実在の人間でかつ対話形式のログインに関連付けられているすべてのユーザ。こ
のカテゴリには、すべての IP テレフォニーユーザの他、User Groups and Roles 設定（以前のバー
ジョンの Unified CM にある Cisco Multilevel Administration 機能に相当）を使用する場合の
Unified CM 管理者も含まれます。
• アプリケーションユーザ：Cisco Unified Communications の他の機能またはアプリケーション
（Cisco Attendant Console、Cisco Unified Contact Center Express、Cisco Unified Communication
Manager Assistant など）に関連付けられているすべてのユーザ。これらのアプリケーションは
Unified CM に対して認証する必要がありますが、この内部「ユーザ」は対話形式のログインを行
わず、単にアプリケーション間の内部通信だけを処理します。
表 17-3 では、Unified CM データベースにデフォルトで作成されるアプリケーションユーザのリスト
を、それらのユーザが使用される機能またはアプリケーションと共に示しています。Cisco Unified
Communications の他のアプリケーションを統合する場合に、追加のアプリケーションユーザを手動で
作成できます（たとえば、Cisco Attendant Console の ac アプリケーションユーザ、Cisco Unified
Contact Center Express の jtapi アプリケーションユーザなど）。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-7
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
表 17-3
Unified CM のデフォルトのアプリケーションユーザ
アプリケーションユーザ
使用される機能またはアプリケーション
CCMAdministrator
Unified CM Administration（デフォルトは
「スーパーユーザ」）
CCMQRTSecureSysUser
Cisco Quality Reporting Tool
CCMQRTSysUser
CCMSysUser
シスコエクステンションモビリティ
IPMASecureSysUser
Cisco Unified Communications Manager Assistant
IPMASysUser
WDSecureSysUser
Cisco WebDialer
WDSysUser
これらの考慮事項に基づいて、図 17-4 に、ルックアップ、プロビジョニング、認証などのユーザ関連
操作に対する Unified CM でのデフォルト動作を示します。
図 17-4
Unified CM のユーザ関連操作に対するデフォルト動作
Directory
Synchronization
䉿䊷䊦
䋨㕖䉝䉪䊁䉞䊑䋩
Cisco Unified CM
䉰䊷䊋
DirSync
⹺⸽
M
Identity Management
System䋨IMS䋩䊤䉟䊑䊤䊥 IMS
Web
䉰䊷䊎䉴
䊡䊷䉱
䊦䉾䉪䉝䉾䊒
WWW
HTTPS
HTTPS
HTTP
䊌䉴䊪䊷䊄⹺⸽
䊌䉴䊪䊷䊄⹺⸽
⚵䉂ㄟ䉂
䊂䊷䉺䊔䊷䉴
DB
HTTP
PIN ⹺⸽
䊡䊷䉱
䊦䉾䉪䉝䉾䊒
IPMA
IP 䊁䊧䊐䉤䊆䊷䊡䊷䉱䇮
▤ℂ⠪
䋨䉣䊮䊄䊡䊷䉱䋩
Attendant
Console
ઁ䈱 Cisco 䉝䊒䊥䉬䊷䉲䊢䊮
䋨䉝䊒䊥䉬䊷䉲䊢䊮䊡䊷䉱䋩
䉣䉪䉴䊁䊮䉲䊢䊮㩷䊝䊎䊥䊁䉞
䊨䉫䉟䊮
Directories
䊗䉺䊮
153283
IPCC
Express
エンドユーザは、HTTPS 経由で Unified CM User Options ページにアクセスし、ユーザ名およびパス
ワードで認証します。ユーザグループと役割によって管理者として設定されている場合、エンドユー
ザは同じクレデンシャルで Unified CM Administration のページにもアクセスできます。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-8
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
同様に、シスコの他の機能とアプリケーションは、それぞれのアプリケーションユーザに関連付けら
れたユーザ名およびパスワードで、HTTPS 経由で Unified CM に対して認証します。
HTTPS メッセージによって伝送される認証確認は、Unified CM の Web サービスにより、Identity
Management System （IMS）という内部ライブラリにリレーされます。デフォルト設定では、IMS ラ
イブラリは、組み込みデータベースに対してエンドユーザとアプリケーションユーザの両方を認証し
ます。このように、IP 通信システムにおける「現実の」ユーザと内部アプリケーションアカウントの
両方が、Unified CM に設定されたクレデンシャルを使用して認証されます。
エンドユーザは、IP Phone からエクステンションモビリティサービスにログインするときに、ユーザ
名と数値パスワード（PIN）で認証することもできます。この場合、認証確認は HTTP 経由で
Unified CM に伝送されますが、やはり Web サービスにより IMS ライブラリにリレーされ、IMS ライ
ブラリは組み込みデータベースに対してクレデンシャルを認証します。
さらに、Directories ボタンを介して IP テレフォニーエンドポイントによって実行されるユーザルック
アップでは、HTTP 経由で Unified CM の Web サービスと通信し、組み込みデータベースのデータに
アクセスします。
エンドユーザとアプリケーションユーザの区別の重要性は、社内ディレクトリとの統合が必要な場合
に明らかになります。前の項で説明したように、この統合は次の 2 つの独立したプロセスによって実現
されます。
• LDAP 同期
このプロセスでは、Unified CM の Cisco Directory Synchronization（DirSync）という内部ツール
を使用して、社内 LDAP ディレクトリから多数のユーザ属性を（手動または定期的に）同期しま
す。この機能を有効にすると、ユーザは社内ディレクトリから自動的にプロビジョニングされま
す。この機能はエンドユーザだけに適用され、アプリケーションユーザは独立したままで、引き
続き Unified CM Administration インターフェイスを介してプロビジョニングされます。要約する
と、エンドユーザは社内ディレクトリで定義され、Unified CM データベースに同期されますが、
アプリケーションユーザは Cisco Unified CM データベースに保存されるだけで、社内ディレクト
リで定義する必要はありません。
• LDAP 認証
このプロセスは、LDAP の標準的なシンプルバインド操作を使用して、IMS ライブラリによる社
内 LDAP ディレクトリに対するユーザクレデンシャルの認証を可能にします。この機能を有効に
すると、エンドユーザパスワードは社内ディレクトリに対して認証されますが、アプリケーショ
ンユーザパスワードは引き続きローカルで Unified CM データベースに対して認証されます。
Cisco エクステンションモビリティの PIN も引き続きローカルで認証されます。
Unified CM データベースに対して内部でアプリケーションユーザを維持および認証すると、社内
LDAP ディレクトリの可用性とは無関係に、これらのアカウントを使用して Unified CM と通信するす
べてのアプリケーションと機能に対して復元性が提供されます。
Cisco エクステンションモビリティの PIN も Unified CM データベース内で維持されます。これは、こ
れらの PIN はリアルタイムアプリケーションの必須部分であり、リアルタイムアプリケーションは社
内ディレクトリの応答性に依存しないようにする必要があるためです。
次の 2 つの項では、LDAP 同期と LDAP 認証についてさらに詳しく説明し、両方の機能に関して設計
上のベストプラクティスを示します。
（注）「IP テレフォニーエンドポイントのディレクトリアクセス」（P.17-3）の項で説明したように、外部
Web サーバで Cisco Unified IP Phone Services SDK を設定することにより、エンドポイントからの
ユーザルックアップを社内ディレクトリに対して実行することもできます。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-9
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
LDAP 同期
Unified CM を社内 LDAP ディレクトリに同期すると、管理者は Unified CM データフィールドをディ
レクトリ属性にマッピングすることにより、ユーザを容易にプロビジョニングできるようになります。
LDAP ストアに保持されている重要なユーザデータは、スケジュールまたはオンデマンドベースで
Unified CM データベース内の対応する適切なフィールドにコピーされます。社内 LDAP ディレクトリ
のステータスは、中央リポジトリのままとなります。Unified CM は、ユーザデータを保存するための
統合データベースを備え、またユーザアカウントおよびデータを作成して管理するための Web イン
ターフェイスを、Unified CM Administration 内に備えています。LDAP 同期を有効にすると、ローカ
ルデータベースは引き続き使用されますが、エンドユーザアカウントを作成する Unified CM ファシ
リティが無効になります。その後、エンドユーザアカウントの管理は、LDAP ディレクトリのイン
ターフェイスを介して実施されます（図 17-5 を参照）。アプリケーションユーザのアカウントは引き
続き、Unified CM Administration Web インターフェイスを使用して作成し、管理できます。
ユーザアカウント情報は、LDAP ディレクトリから Unified CM パブリッシャサーバにあるデータ
ベースにインポートされます。LDAP ディレクトリからインポートされた情報は、Unified CM から変
更できません。Cisco Unified Communications に固有の追加のユーザ情報は、Unified CM によって管
理され、ローカルデータベースだけに保存されます。たとえば、デバイスとユーザのアソシエーショ
ン、短縮ダイヤル、自動転送設定、およびユーザ PIN はすべて Unified CM が管理するデータの例であ
り、社内 LDAP ディレクトリには存在しません。次に、ユーザデータは組み込みデータベース同期メ
カニズムによって、Unified CM パブリッシャサーバからサブスクライバサーバに伝達されます。
図 17-5
ユーザデータ同期の有効化
Cisco Unified CM 䉰䊷䊋
User Data
Synchronization
␠ౝ
䊂䉞䊧䉪䊃䊥
(Microsoft AD䇮
Netscape/iPlanet)
DirSync
DB
LDAP(S)
⹺⸽
M
Identity Management
System䋨IMS䋩䊤䉟䊑䊤䊥 IMS
Web
䉰䊷䊎䉴
⚵䉂ㄟ䉂
䊂䊷䉺䊔䊷䉴
䊡䊷䉱
䊦䉾䉪䉝䉾䊒
WWW
HTTPS
⹺⸽
HTTP
䊡䊷䉱
䊦䉾䉪䉝䉾䊒
Cisco Unified CM User Options䇮
䉣䉪䉴䊁䊮䉲䊢䊮㩷䊝䊎䊥䊁䉞䇮
Cisco Unified CM Administrators
㪠㪧㩷䊐䉤䊮
153284
Directories
䊗䉺䊮
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-10
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
LDAP 同期をアクティブにすると、一度に 1 つのタイプの LDAP ディレクトリだけをクラスタ用にグ
ローバルに選択できます。また、LDAP ディレクトリユーザの 1 つの属性が選択されて [Unified CM
User ID] フィールドにマッピングされます。Unified CM はデータへのアクセスに標準 LDAPv3 を使用
します。
Cisco Unified CM は、標準属性からデータをインポートします。ディレクトリスキーマの拡大は必要
ありません。表 17-4 に、Unified CM の各フィールドへのマッピングに使用できる属性を示します。
[Unified CM User ID] フィールドにマッピングされるディレクトリ属性のデータは、そのクラスタのす
べてのエントリ内で固有のものである必要があります。[Cisco UserID] フィールドにマッピングされる
属性はディレクトリに格納される必要があり、sn 属性はデータと一緒に格納される必要があります。
そうしないと、このインポート処理時にこれらのレコードはスキップされます。エンドユーザアカウ
ントのインポート中に使用するプライマリ属性が Unified CM データベースのいずれかのアプリケー
ションユーザと一致する場合、そのエンドユーザはスキップされます。
表 17-4 では、LDAP ディレクトリから対応する Unified CM ユーザフィールドにインポートされた属
性を示していて、またこれらのフィールド間のマッピングについて説明しています。Unified CM ユー
ザフィールドの中には、複数の LDAP 属性の 1 つからマッピングされるものもあります。
表 17-4
同期化された LDAP 属性と対応する Unified CM フィールド名
フィールド
Microsoft
Active Directory
Netscape、iPlanet、
または Sun ONE
OpenLDAP1
User ID
次のいずれか
次のいずれか
次のいずれか
sAMAccountName
mail
employeeNumber
telephoneNumber
userPrincipalName
uid
mail
employeeNumber
telephonePhone
uid
mail
employeeNumber
telephonePhone
First Name
givenName
givenname
givenname
Middle Name
次のいずれか
initials
initials
Unified CM のユーザ
middleName
initials
Last Name
sn
sn
sn
Manager ID
manager
manager
manager
Department
department
departmentnumber
departmentnumber
Phone Number
次のいずれか
telephonenumber
telephonenumber
次のいずれか
次のいずれか
次のいずれか
mail
sAMAccountName
mail
uid
mail
uid
telephoneNumber
ipPhone
Mail ID
1. このディレクトリタイプは、Cisco Unified CM 7.1(2) 以降のリリースだけでサポートされています。
表 17-5 に、Dirsynch プロセスによってインポートされ、Unified CM データベースにコピーされるけ
れど、管理者ユーザの設定 Web ページには表示されない追加属性のリストを示します。Microsoft
OCS を使用する場合、属性 msRTCSIP-PrimaryUserAddress は AD に格納されます。この表は、完全
な情報を提供する目的で記載されています。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-11
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
表 17-5
表示されない同期化 LDAP 属性
フィールド
Microsoft Active Directory
Netscape、iPlanet、
または Sun ONE
OpenLDAP1
objectGUID
objectGUID
適用されない
適用されない
OCSPrimaryUserAddress
msRTCSIP-PrimaryUserAddress 1
適用されない
適用されない
Title
title
Title
title
Home Phone Number
homePhone
Homephone
hometelephonenumber
Mobile Phone Number
mobile
Mobile
Mobiletelephonenumber
Pager Number
pager
Pager
pagertelephonenumber
Unified CM のユーザ
1. このディレクトリタイプは、Cisco Unified CM 7.1(2) 以降のリリースだけでサポートされています。
同期は、Serviceability Web ページで有効にする Cisco DirSync というプロセスによって実行されます。
このプロセスを有効にすることで、システムに 1 ～ 5 つの同期アグリーメントを設定できます。アグ
リーメントでは、LDAP ツリー内で Unified CM がインポートするユーザアカウントの検索を開始す
る場所となる検索ベースを指定します。Unified CM は、特定の同期アグリーメントについて検索ベー
スで指定したドメインの領域に存在するユーザだけをインポートできます。
図 17-6 は、2 つの同期アグリーメントを示しています。一方の同期アグリーメントでは、User Search
Base 1 を指定し、ユーザ jsmith、jdoe、jbloggs をインポートします。もう一方の同期アグリーメント
では、User Search Base 2 を指定し、ユーザ jjones、bfoo、tbrown をインポートします。CCMDirMgr
アカウントは、ユーザ検索ベースで指定した場所の下位に存在しないので、インポートされません。
ユーザを LDAP ディレクトリの構造に編成すると、その構造を使用して、どのユーザグループをイン
ポートするかを制御できます。この例では、単一の同期アグリーメントを使用してドメインのルートを
指定することもできましたが、その検索ベースでは Service Accts もインポートしていたと考えられま
す。検索ベースではドメインルートを指定する必要はなく、ツリーのどの場所でも指定できます。
図 17-6
ユーザ検索ベース
User
Search
Base 2
User
Search
Base 1
dc=vse, dc=lab
CCM Dir Mgr
ou= Site 1 Users
ou=Eng
jsmith
ou= Site 2 Users
ou=Mktg
jdoe
jjones
jbloggs
bfoo
tbrown
153285
ou=Service Accts
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-12
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
データを Unified CM データベースにインポートするために、LDAP Manager Distinguished Name と
して設定で指定されたアカウントを使用して、システムが LDAP ディレクトリへのバインドを実行し、
データベースの読み取りがこのアカウントで実行されます。Unified CM のログインのために、LDAP
ディレクトリでアカウントが使用可能である必要があります。ユーザ検索ベースで指定したサブツリー
内のすべてのユーザオブジェクトの読み取り可能な権限を持つ、固有のアカウントを作成することを
お勧めします。同期アグリーメントでは、そのアカウントがドメイン内の任意の場所に存在できるよう
に、アカウントの完全認定者名を指定します。図 17-6 の例では、CCMDirMgr が同期に使用するアカ
ウントです。
アカウントのインポートは、LDAP Manager Distinguished Name アカウントの権限を使用して制御で
きます。この例では、ou=Eng への読み取りアクセスはできるが ou=Mktg への読み取りアクセスはで
きないようにこのアカウントを制限した場合、Eng の下位にあるアカウントだけがインポートされま
す。
同期アグリーメントには、複数のディレクトリサーバを指定して冗長性を実現する機能があります。
同期の試行時に使用するディレクトリサーバを 3 つまで、順序付きのリストにして設定に指定できま
す。これらのサーバでの試行が、リストの最後まで順に行われます。どのディレクトリサーバも応答
しない場合、同期には失敗しますが、設定済みの同期スケジュールに従って再試行されます。
同期のメカニズム
同期アグリーメントでは、同期を開始する時刻を指定し、再同期の期間を時間、日、週、月のいずれか
の単位（最小値は 6 時間）で指定します。同期アグリーメントは、特定の時刻に 1 回だけ実行するよう
に設定することもできます。
Unified CM パブリッシャサーバで同期を初めて有効にすると、社内ディレクトリに存在するユーザア
カウントが Unified CM データベースにインポートされます。そして、その後のプロセスに従って、既
存の Unified CM エンドユーザアカウントがアクティブになってデータが更新されるか、新しいエンド
ユーザアカウントが作成されます。
1. エンドユーザアカウントがすでに Unified CM データベースに存在するときに同期アグリーメント
を設定した場合、Unified CM ですべての既存のアカウントは非アクティブとマークされます。同
期アグリーメントの設定で、Unified CM UserID への LDAP データベース属性のマッピングを指
定します。同期中に LDAP データベースのアカウントが既存の Unified CM アカウントと一致する
と、その Unified CM アカウントは再びアクティブとマークされます。
2. 同期の完了後、アクティブに設定されなかったアカウントは、ガーベッジコレクションプロセス
の実行時に Unified CM から永続的に削除されます。ガーベッジコレクションは、午前 3 時 15 分
の定時に自動的に実行されるプロセスで、設定はできません。Unified CM は同期が設定されてい
る間はアカウントを管理できないので、LDAP ディレクトリアカウントと一致しない Unified CM
アカウントの削除が必要です。
3. 後で社内ディレクトリに変更を加えると、スケジューリングされた次回の同期期間に、完全な再同
期として Microsoft Active Directory から同期が行われます。これに対して、iPlanet および
Sun ONE の各ディレクトリ製品は、ディレクトリに変更が加えられると差分同期を実行します。
次の項では、2 つのシナリオのそれぞれの例を示します。
（注）
ユーザを LDAP から Unified CM データベースに同期した後で同期設定を削除すると、その設定によっ
てインポートされたユーザには、データベース内で非アクティブのマークが付きます。その後、これら
のユーザはガベージコレクションによって削除されます。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-13
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
Active Directory でのアカウント同期
図 17-7 は、LDAP 同期と LDAP 認証の両方を有効にした Unified CM 配置について、イベントのスケ
ジュールの例を示しています。再同期は、毎日午後 11 時に設定されています。
Active Directory での変更の伝達
8
11
1
1
3
1
2
11
8
A
15
1
3
3
15
B
C
153292
図 17-7
最初の同期の後、アカウントの作成、削除、または無効化は、図 17-7 に示すスケジュールに従って、
次の手順で説明するように Unified CM に伝達されます。
1. 1 月 1 日の午前 8 時に、AD でアカウントを無効にするか削除します。これ以降、期間 A 中は、
Unified CM が認証を AD にリダイレクトするため、このユーザのパスワード認証（たとえば、
Unified CM User Options ページ）は失敗します。ただし、PIN は Unified CM データベースに保
存されているため、PIN 認証（たとえば、エクステンションモビリティログイン）は今までどお
り成功します。
2. 定期的な再同期が 1 月 1 日午後 11 時にスケジュールされています。このプロセス中に、
Unified CM がすべてのアカウントを検証します。AD で無効にするか削除したアカウントは、こ
の時点で Unified CM データベースでは非アクティブとしてタグ付けされます。1 月 1 日の午後 11
時より後に、アカウントが非アクティブとマークされると、Unified CM による PIN 認証とパス
ワード認証は両方とも失敗します。
3. アカウントのガベージコレクションは毎日午前 3 時 15 分の定時に発生します。このプロセスは、
24 時間以上非アクティブとマークされたレコードの Unified CM データベースからユーザ情報を永
続的に削除します。この例では、1 月 2 日の午前 3 時 15 分に実行するガーベッジコレクションで
は、アカウントが非アクティブになってまだ 24 時間が経過していないので、アカウントを削除し
ません。したがって、アカウントは 1 月 3 日の午前 3 時 15 分に削除されます。この時点で、ユー
ザデータは Unified CM から永続的に削除されます。
期間 A の開始時にアカウントを AD で作成していた場合、そのアカウントは期間 B の開始時に実行さ
れる定期的な再同期で Unified CM にインポートされ、Unified CM ですぐにアクティブになります。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-14
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
iPlanet または Sun ONE でのアカウント同期
iPlanet および Sun ONE 製品は差分同期アグリーメントをサポートし、Microsoft Active Directory と
は異なる同期スケジュールを使用します。同期には、Internet Engineering Task Force （IETF）ドラフ
トで定義され、多くの LDAP 実装でサポートされている永続検索メカニズムが使用されます。図 17-8
では、LDAP 同期と LDAP 認証の両方を有効にした Unified CM 配置について、この同期スケジュー
ルの例を示しています。
iPlanet および Sun ONE での変更の伝達
8
3
1
1
1
8
8
A
2
2
:
15
1
3
3
15
B
C
153293
図 17-8
図 17-8 の例は、次の手順から構成されます。
1. 1 月 1 日の午前 8 時にアカウントが社内ディレクトリから削除され、これにより、差分更新データ
が LDAP サーバから Unified CM に送信されます。Unified CM は、データに対応するコピーを非
アクティブに設定します。LDAP 認証が設定されているので、LDAP サーバがレコードを削除す
るとすぐに、ユーザはパスワードによるログインができなくなります。また、Unified CM レコー
ドが非アクティブとマークされると、PIN をログインに使用できません。
2. 期間 B 中は、ユーザのレコードは非アクティブですが、まだ Unified CM に存在します。
3. 1 月 2 日の午前 3 時 15 分にガーベッジコレクションが実行されるときは、レコードが非アクティ
ブになってまだ 24 時間が経過していません。データは 1 月 3 日の期間 C の開始時まで
Unified CM データベースに残り、ガーベッジコレクションプロセスがこの日の午前 3 時 15 分に
再び実行され、レコードが 24 時間以上にわたって非アクティブであったことを確認します。その
結果、レコードはデータベースから永続的に削除されます。
ディレクトリで新規に作成したアカウントは、差分更新データによって同様に Unified CM に同期し、
差分更新データが受信されるとすぐに使用できます。
セキュリティの考慮事項
アカウントのインポート中は、LDAP ディレクトリから Unified CM データベースに、パスワードも
PIN もコピーされません。Unified CM で LDAP 同期が有効でない場合、エンドユーザのパスワードは
Unified CM Administration を使用して管理されます。パスワードと PIN は、暗号化形式で
Unified CM データベースに保存されます。PIN は常に Unified CM で管理されます。LDAP ディレク
トリパスワードを使用してエンドユーザを認証する場合は、「LDAP 認証」（P.17-18）の項を参照して
ください。
Unified CM および LDAP サーバで Secure LDAP（SLDAP）を有効にすることにより、Unified CM
パブリッシャサーバとディレクトリサーバ間の接続を保護できます。Secure LDAP を使用すると、
Secure Socket Layer（SSL）接続で LDAP 送信ができます。Unified CM Platform Administration 内で
SSL 証明書をアップロードすることにより、Secure LDAP を有効にできます。詳細な手順については、
http://www.cisco.com で入手可能な Unified CM の製品マニュアルを参照してください。SLDAP を有
効にする方法については、LDAP ディレクトリベンダーのドキュメンテーションを参照してください。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-15
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
LDAP 同期のベストプラクティス
Cisco Unified CM で LDAP 同期を配置する場合は、設計と実装に関する次のベストプラクティスに
従ってください。
• 社内ディレクトリ内で特定のアカウントを使用し、Unified CM 同期アグリーメントがそのディレ
クトリに対して接続および認証できるようにする。目的の検索ベース内にあるすべてのユーザオ
ブジェクトを最低限の「読み取り」権限を設定し、期限切れにならないようにパスワードを設定
した状態で、Unified CM 専用のアカウントを使用することをお勧めします。ディレクトリ内のこ
のアカウントのパスワードは、Unified CM 内のアカウントのパスワード設定と同期し続ける必要
があります。サービスアカウントのパスワードがディレクトリ内で変更された場合は、必ず
Unified CM でアカウント設定をアップデートしてください。
• 所定のクラスタにあるすべての同期アグリーメントは、同じ LDAP サーバファミリ（Microsoft
AD、iPlanet、または Sun ONE）と統合する必要がある。
• 複数のアグリーメントが同時に同じ LDAP サーバに照会することがないように、同期アグリーメ
ントのスケジューリングに時間差を設ける。待機期間中（オフピーク時間）の同期時刻を選択しま
す。
• ユーザデータのセキュリティが必要である場合、Unified CM Administration の [LDAP Directory]
設定ページで [Use SSL] フィールドのチェックボックスをオンにして、Secure LDAP（SLDAP）
を有効にする。
• Unified CM UserID フィールドへのマッピングのために選択した LDAP ディレクトリ属性が、そ
のクラスタのすべての同期アグリーメント内で固有であることを確認する。
• UserID として選択した属性は、Unified CM で定義したアプリケーションユーザのいずれかの属
性と同じであってはならない。
• 同期前の Unified CM データベースにある既存のアカウントは、LDAP ディレクトリからインポー
トされたアカウントの属性に一致する場合だけ維持される。Unified CM UserID に一致する属性
は、同期アグリーメントによって確認されます。
• 冗長性が得られるように、2 台以上の LDAP サーバを設定する。ホスト名の代わりに IP アドレス
を使用すると、Domain Name System（DNS; ドメインネームシステム）の可用性に依存しなくな
ります。
• エンドユーザアカウントは LDAP ディレクトリの管理ツールによって管理し、これらのアカウン
トのシスコ固有データは Unified CM Administration Web ページによって管理する。
• AD の配置については、ObjectGUID がユーザの主要属性として Unified CM で内部的に使用され
る。[Unified CM User ID] に対応する AD 内の属性は、AD 内で変更できます。たとえば、
sAMAccountname を使用している場合、ユーザは自分の sAMAccountname を AD で変更するこ
とができ、Unified CM 内で対応するユーザレコードは更新されます。
その他すべての LDAP プラットフォームでは、User ID にマッピングされる属性が Unified CM に
おけるそのアカウントの主要属性となります。LDAP 内の属性を変更すると、Unified CM に新し
いユーザが作成され、元のユーザには非アクティブのマークが付きます。
Microsoft Active Directory に関する追加の考慮事項
ドメインの同期アグリーメントでは、ドメイン外のユーザや子ドメイン内のユーザは同期されません。
同期プロセス中は Unified CM が AD 照会に従わないためです。図 17-9 の例では、すべてのユーザを
インポートするために 3 つの同期アグリーメントが必要です。Search Base 1 ではツリーのルートを指
定しますが、子ドメインのいずれかに存在するユーザはインポートしません。範囲は VSE.LAB に限定
されており、残りの 2 つのドメインに対し、そのユーザをインポートするように別々のアグリーメント
が設定されています。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-16
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
図 17-9
複数の Active Directory ドメインでの同期
User
Search
Base 1
dc=vse, dc=lab
ou=Corporate
User
Search
Base 2
bfoo
jjones
ou=Svc Accts
User
Search
Base 3
Dir Mgr 1
vse.lab
dc=amer, dc=vse, dc=lab
ou=Mktg
ou=Svc Accounts
ou=Eng
ou=Mktg
ou=Svc Accounts
Dir Mgr 2
jdoe
jsmith
jbloggs
amer.vse.lab
Dir Mgr 3
jbrown
tross
bwhite
emea.vse.lab
153286
ou=Eng
dc=emea, dc=vse, dc=lab
図 17-9 では、ドメインとサブドメインのそれぞれに少なくとも 1 つの Domain Controller（DC; ドメ
インコントローラ）が関連付けられ、3 つの同期アグリーメントはそれぞれ適切なドメインコント
ローラを指定します。DC にある情報は、その DC が存在するドメイン内のユーザの情報だけなので、
すべてのユーザをインポートするために 3 つの同期アグリーメントが必要です。
図 17-10 に示すように、複数のツリーを含む AD フォレストで同期を有効にした場合も、上記と同じ
理由で複数の同期アグリーメントが必要です。さらに、UserPrincipalName（UPN）属性がフォレスト
全体で固有であることが Active Directory によって保証され、この属性は Unified CM UserID にマッ
ピングする属性として選択する必要があります。マルチツリーの AD シナリオで UPN 属性を使用する
場合の追加の考慮事項については、「Microsoft Active Directory に関する追加の考慮事項」（P.17-22）
の項を参照してください。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-17
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
複数の AD ツリー（不連続なネームスペース）での同期
User
Search
Base 1
User
Search
Base 2
dc=avvid, dc=info
dc=vse, dc=lab
ou=IT
ou=Mktg
ou=Svc
ou=Eng
ou=Mktg
ou=Svc
ou=Users
ou=Users
Dir Mgr 1
ou=Users
ou=Users
Dir Mgr 2
probert
jbloggs
jsmith
jdoe
avvid.info
vse.lab
jbrown
153287
図 17-10
アカウントの同期を実行すると、Unified CM から AD に LDAP サーチフィルタが送信されます。そ
の中に、AD で無効のマークが付いているアカウントを戻さないという条件があります。ログインの失
敗回数を超えた場合など、AD によって無効のマークが付けられたアカウントには、そのアカウントが
無効である間に同期が実行された場合に非アクティブのマークが付けられます。
LDAP 認証
LDAP 認証機能を使用すると、組み込みデータベースを使用する代わりに、社内 LDAP ディレクトリ
に対して Unified CM でエンドユーザパスワードを認証できます。図 17-11 に示すように、
Unified CM 内の IMS モジュールと社内ディレクトリサーバ間で確立した LDAPv3 接続によって、こ
の認証が実現されます。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-18
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
図 17-11
LDAP 認証の有効化
Cisco Unified CM 䉰䊷䊋
User Data
Synchronization
DirSync
DB
LDAP(S)
␠ౝ
䊂䉞䊧䉪䊃䊥
(Microsoft AD䇮
Netscape/iPlanet)
⚵䉂ㄟ䉂
䊂䊷䉺䊔䊷䉴
⹺⸽
LDAP(S)
M
Identity Management
System䋨IMS䋩䊤䉟䊑䊤䊥 IMS
Web
䉰䊷䊎䉴
䊡䊷䉱
䊦䉾䉪䉝䉾䊒
WWW
HTTPS
⹺⸽
HTTP
䊡䊷䉱
䊦䉾䉪䉝䉾䊒
Cisco Unified CM User Options䇮
Cisco Unified CM Administrators
㪠㪧㩷䊐䉤䊮
153288
Directories
䊗䉺䊮
認証を有効にするために、クラスタ全体に単一の認証アグリーメントを定義できます。認証アグリーメ
ントは、冗長性を得るために LDAP サーバを 3 つまで設定でき、必要に応じて保護接続 Secure LDAP
（SLDAP）もサポートします。認証は、LDAP 同期を使用しているときに限り有効にできます。
認証を有効にした場合の Unified CM の動作説明を、次に示します。
• エンドユーザパスワードは、シンプルバインド操作によって社内ディレクトリに対して認証され
る。
• アプリケーションユーザパスワードは、Unified CM データベースに対して認証される。
• エンドユーザ PIN は、Unified CM データベースに対して認証される。
この動作は、リアルタイム Unified Communications システムの操作を社内ディレクトリの可用性に依
存しないようにしながら、シングルログオン機能をエンドユーザに提供するという原則に従ったもの
です。図 17-12 に図示します。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-19
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
図 17-12
エンドユーザパスワード、アプリケーションユーザパスワード、エンドユーザ PIN の認証
Cisco Unified CM 䉰䊷䊋
User Data
Synchronization
DirSync
DB
␠ౝ
䊂䉞䊧䉪䊃䊥
(Microsoft AD䇮
Netscape/iPlanet)
⚵䉂ㄟ䉂
䊂䊷䉺䊔䊷䉴
M
IMS
WWW
䊌䉴䊪䊷䊄⹺⸽
䊌䉴䊪䊷䊄⹺⸽
PIN ⹺⸽
IPMA
䉣䊮䊄䊡䊷䉱䋺䊌䉴䊪䊷䊄
䋨MLA 䉕ᜬ䈧 Cisco Unified CM
▤ℂ⠪䉕฽䉃䋩
Attendant
Console
䉝䊒䊥䉬䊷䉲䊢䊮䊡䊷䉱
䋨ac䇮jtapi䇮CCMAdministrator䇮…䋩
䉣䊮䊄䊡䊷䉱䋺PIN
䋨EM 䊨䉫䉟䊮䋩
153289
IPCC
Express
図 17-13 は、エンドユーザを社内 LDAP ディレクトリに対して認証するために Unified CM で採用さ
れた、次のプロセスを示しています。
1. ユーザは、HTTPS 経由で [Unified CM User Options] ページに接続し、ユーザ名とパスワードで認
証を試行します。この例では、ユーザ名は jsmith です。
2. Unified CM はユーザ名 jsmith に関する LDAP 照会を発行し、[LDAP Authentication] 設定ページ
の [LDAP Search Base] で指定された値を、この照会の範囲として使用します。SLDAP を有効に
した場合、この照会は SSL 接続を通じて行われます。
3. 社内ディレクトリサーバは、LDAP 経由で、ユーザ jsmith の完全 Distinguished Name（DN; 認定
者名）で応答します（たとえば、「cn=jsmith, ou=Users, dc=vse, dc=lab」）。
4. 次に Unified CM は、LDAP バインド操作を使用して、ユーザに提供された完全な DN とパスワー
ドを渡すことにより、ユーザのクレデンシャルの検証を試みます。
5. LDAP バインドが成功した場合、Unified CM は、要求された設定ページにユーザが進むことを許
可します。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-20
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
図 17-13
認証プロセス
⹺⸽ “jsmith” / ***** - HTTPS
ᬌ⚝ “jsmith” - LDAP(S)
M
ᔕ╵䋨ቢో DN) - LDAP(S)
Cisco
Unified CM
䉣䊮䊄䊡䊷䉱
䊋䉟䊮䊄ᚑഞ - LDAP(S)
␠ౝ䊂䉞䊧䉪䊃䊥
153290
䊋䉟䊮䊄 ቢో DN + ***** - LDAP(S)
⹺⸽ᚑഞ - HTTPS
Cisco Unified CM で LDAP 認証を配置する場合は、設計と実装に関する次のベストプラクティスに
従ってください。
• 社内ディレクトリ内に特定のアカウントを作成し、Unified CM がそのディレクトリに対して接続
および認証できるようにする。目的の検索ベース内にあるすべてのユーザオブジェクトを「読み
取る」ように最小権限を設定し、期限切れにならないようにパスワードを設定した状態で、
Unified CM 専用のアカウントを使用することをお勧めします。ディレクトリ内のこのアカウント
のパスワードは、Unified CM 内のアカウントのパスワード設定と同期し続ける必要があります。
アカウントのパスワードがディレクトリ内で変更された場合は、必ず Unified CM でアカウント設
定を更新してください。LDAP 同期も有効にする場合、両方の機能に同じアカウントを使用できま
す。
• LDAP Manager Distinguished Name および LDAP Password で前述のアカウントのクレデンシャル
を指定し、LDAP User Search Base ですべてのユーザが存在するディレクトリサブツリーを指定
することにより、Unified CM で LDAP 認証を有効にする。
• 冗長性が得られるように、2 台以上の LDAP サーバを設定する。ホスト名の代わりに IP アドレス
を使用すると、Domain Name System（DNS; ドメインネームシステム）の可用性に依存しなくな
ります。
• この方法では、シングルログオン機能をすべてのエンドユーザに提供する。エンドユーザは、
Unified CM User Options ページにログインすると、社内ディレクトリクレデンシャルを使用でき
るようになります。
• 社内ディレクトリインターフェイスでエンドユーザパスワードを管理する。認証を有効にすると、
Unified CM Administration のページにパスワードフィールドが表示されなくなります。
• Unified CM Administration の Web ページまたは [Unified CM User Options] ページでエンドユー
ザ PIN を管理する。
• Unified CM Administration の Web ページでアプリケーションユーザのパスワードを管理する。ア
プリケーションユーザは他の Cisco Unified Communications アプリケーションとの通信やリモー
ト呼制御を容易にすること、また、実際のユーザには関連付けられないことに留意してください。
• 対応するエンドユーザを Unified CM Administration の Web ページから Unified CM Super Users
ユーザグループに追加することにより、Unified CM 管理者のシングルログオンを有効にする。カ
スタマイズしたユーザグループおよびロールを作成することにより、複数レベルの管理者権利を
定義できます。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-21
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
Microsoft Active Directory に関する追加の考慮事項
複数のドメインコントローラを地理的に分散させた分散型 AD トポロジを採用している環境では、認
証速度が許容されない可能性があります。認証アグリーメント用のドメインコントローラにユーザア
カウントが保持されていない場合、他のドメインコントローラでそのユーザの検索が実行される必要
があります。この設定を適用するときに、ログイン速度が許容範囲外である場合、グローバルカタロ
グサーバを使用するように認証設定を設定できます。
ただし、重要な制限があります。グローバルカタログは Employee ID 属性を伝送しないので、
Employee ID をログインとして使用する場合には、この方法は使用できません。この属性には、ドメ
インコントローラだけを使用できます。
グローバルカタログに対する照会を有効にするには、グローバルカタログロールが有効になっている
ドメインコントローラの IP アドレスまたはホスト名を指すように LDAP Authentication ページの
LDAP Server Information を設定し、LDAP ポートを 3268 として設定するだけです。
Microsoft AD から同期するユーザが複数のドメインに属していると、認証へのグローバルカタログの
使用がさらに効率的になります。Unified CM は、照会に従う必要がなく、すぐにユーザを認証できる
ためです。このような場合は、Unified CM がグローバルカタログサーバを指すようにし、LDAP
User Search Base をルートドメインの最上位に設定します。
複数のツリーを含む Microsoft AD フォレストの場合には、追加の考慮事項が適用されます。単一の
LDAP 検索ベースでは複数のネームスペースを扱えないので、Unified CM は別のメカニズムを使用し
て、これらの不連続なネームスペース間でユーザを認証する必要があります。
「LDAP 同期」（P.17-10）の項で説明したように、複数のツリーがある AD フォレストで同期をサポー
トするために、UserPrincipalName（UPN）属性を Unified CM 内でユーザ ID として使用する必要が
あります。ユーザ ID が UPN の場合、Unified CM Administration の LDAP Authentication 設定ページ
で [LDAP Search Base] フィールドへの入力はできませんが、その代わりに「LDAP user search base is
formed using userid information.」という注意が表示されます。
実際には、図 17-14 に示すように、ユーザごとに UPN サフィックスからユーザ検索ベースが導き出さ
れます。この例では、Microsoft Active Directory フォレストは avvid.info と vse.lab という 2 つのツ
リーで構成されます。同じユーザ名が両方のツリーに表示される場合があるため、同期プロセス中およ
び認証プロセス中は UPN を使用してデータベースのユーザを固有に識別するように、Unified CM が
設定されています。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-22
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
図 17-14
複数のツリーがある Microsoft AD フォレストでの認証
2
Cisco
Unified CM
ᬌ⚝䋺jdoe
䊔䊷䉴䋺dc=avvid,dc=info
4
ᔕ╵䋺ቢో DN
5
䊋䉟䊮䊄䋺ቢో DN + ********
Active Directory
䉫䊨䊷䊋䊦䉦䉺䊨䉫
䉰䊷䊋
M
3
[email protected]
********
dc=avvid, dc=info
[email protected]
********
ou=Users
bfoo
John Doe
(avvid.info)
jdoe
avvid.info
John Doe
(vse.lab)
dc=vse, dc=lab
ou=Users
ou=other
jsmith
jdoe
ou=other
jbrown
vse.lab
153291
1
図 17-14 に示すように、John Doe という名前のユーザが avvid.info ツリーと vse.lab ツリーの両方に存
在します。次の手順は、UPN が [email protected] となる第 1 のユーザに対する認証プロセスを示して
います。
1. ユーザは、ユーザ名（UPN に対応するもの）とパスワードを使用し、HTTPS 経由で Unified CM
に対して認証します。
2. Unified CM は、Microsoft Active Directory グローバルカタログサーバに対して LDAP 照会を実
行し、UPN で指定したユーザ名（@ 記号よりも前の部分）を使用して、UPN サフィックス（@
記号より後の部分）から LDAP 検索ベースを得ます。この場合、ユーザ名は jdoe で、LDAP 検索
ベースは「dc=avvid, dc=info」です。
3. Microsoft Active Directory は、LDAP 照会で指定したツリーのユーザ名に対応する正しい認定者
名を識別します。この場合は、「cn=jdoe, ou=Users, dc=avvid, dc=info」です。
4. Microsoft Active Directory は LDAP 経由で、このユーザの完全認定者名を使用して Unified CM
に応答します。
5. Unified CM は、提供された認定者名とユーザが最初に入力したパスワードで LDAP バインドを試
行し、その後は図 17-13 に示す標準的な場合と同様に、認証プロセスが続行されます。
（注）
複数のツリーを含む Microsoft AD フォレストでの LDAP 認証のサポートは、上記の方法だけで行われ
ます。したがってサポートは、ユーザの UPN サフィックスが、そのユーザが存在するツリーのルート
ドメインに対応する配置だけに限定されます。AD では、異なる UPN サフィックスが許可されたエイ
リアスを使用できます。UPN サフィックスがツリーの実際のネームスペースから分離されている場合
は、Microsoft Active Directory フォレスト全体で Unified CM ユーザを認証できなくなります（ただ
し、その場合でも、別の属性をユーザ ID として使用し、統合をフォレスト内の単一のツリーに限定す
ることはできます）。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-23
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
Unified CM データベース同期のサイズ設定
Unified CM データベース同期機能には、LDAP ストアから Unified CM パブリッシャデータベースへ
ユーザ設定データ（属性）のサブセットをインポートするメカニズムがあります。ユーザアカウント
の同期が発生すると、各ユーザの LDAP アカウント情報が、そのユーザの特定の Unified
Communications 機能を有効にするために必要な追加データと関連付けられることがあります。認証も
有効な場合、パスワード確認のための LDAP ストアへのバインドに、ユーザのクレデンシャルを使用
します。同期や認証が有効な場合に、エンドユーザのパスワードは Unified CM データベースには格納
されません。
ユーザアカウント情報はクラスタ固有です。各 Unified CM パブリッシャサーバは、このクラスタか
ら Unified Communications サービスを受けているユーザの固有のリストを保持しています。同期アグ
リーメントはクラスタ固有で、各パブリッシャにはユーザアカウント情報の独自コピーがあります。
Unified CM データベースは、設定された、または同期された最大 60,000 のユーザアカウントをサ
ポートします。ディレクトリ同期のパフォーマンスを最適化するには、次の点を考慮してください。
• 電話機や Web ページからのディレクトリルックアップには、Unified CM データベースまたは IP
Phone Service SDK を使用できる。ディレクトリルックアップ機能に Unified CM データベースを
使用する場合、LDAP ストアから設定された、または同期されたユーザだけがディレクトリに表示
されます。ユーザのサブセットを同期すると、ユーザのそのサブセットだけがディレクトリルッ
クアップに表示されます。
• ディレクトリルックアップに IP Phone Services SDK を使用する場合に、LDAP に対する
Unified CM ユーザの認証が不要であれば、Unified CM クラスタにログインするユーザのサブセッ
トだけに同期を制限できます。
• クラスタが 1 つだけであり、LDAP ストア内のユーザ数が 60,000 未満である場合、Unified CM
データベースにディレクトリルックアップを実装するには、LDAP ディレクトリ全体をインポー
トできます。
• 複数のクラスタが存在し、LDAP 内のユーザ数が 60,000 未満である場合、すべてのユーザをすべ
てのクラスタにインポートすることで、すべてのエントリがディレクトリルックアップに確実に
含まれるようにすることができます。
• LDAP 内のユーザアカウント数が 60,000 を超えており、ユーザセット全体をすべてのユーザに表
示する必要がある場合には、Unified IP Phone Services SDK を使用して Unified CM からディレク
トリルックアップをオフロードする必要がある。
• 同期と認証の両方を有効にすると、Unified CM データベースに設定または同期されたユーザアカ
ウントはそのクラスタにログインできるようになる。同期するユーザの決定は、ディレクトリ
ルックアップサポートの決定に影響します。
（注）
シスコでは、クラスタごとに最大 60,000 のユーザアカウントの同期をサポートしていますが、この制
限を強制していません。60,000 を超えるユーザアカウントを同期化すると、ディスク容量のスター
ベージョン、データベースパフォーマンスの低速化、およびアップグレードの長時間化を招くことが
あります。
同期を制御するための LDAP 構造の使用
多数の LDAP ディレクトリの配置には、Organizational Unit Name（OU; 組織ユニット名）を使用し
て、ユーザを論理的順序や、場合によっては階層的順序でグループ化します。ユーザを複数の OU に編
成する構造が LDAP ディレクトリにある場合、インポートされるユーザのグループを制御するために
この構造を使用することもできます。各個別 Unified CM 同期アグリーメントは、単一の OU を指定し
ます。サブ OU 内であっても、指定 OU の下にある全アクティブアカウントがサポートされます。OU
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-24
OL-16394-04-J
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
内のユーザだけが同期されます。ユーザを含む複数の OU がクラスタで必要な場合、複数の同期アグ
リーメントが必要です。Unified Communications リソースを割り当てられていないユーザが OU に含
まれている場合は、これらの OU をディレクトリ同期から省くことをお勧めします。
AD に同じ手法を使用して、コンテナを定義できます。同期アグリーメントでは、ディレクトリツリー
の特定のコンテナを指定でき、それによってインポートの範囲を制限できます。
使用できる同期アグリーメントは 5 つだけなので、多数の OU やコンテナを持つ LDAP の配置では、
この手法はすぐに使い果たされてしまいます。複数の OU がある環境でユーザを同期するには、同期
サービスアカウントに割り当てる権限を制御するという方法があります。複数のユーザが存在するツ
リーノードに同期アグリーメントを設定してから、システムアカウントの読み取りアクセスをサブツ
リーの選択部分に制限します。このアクセスを制限する方法については、LDAP ベンダーのドキュメ
ンテーションを参照してください。
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
OL-16394-04-J
17-25
第 17 章
LDAP ディレクトリ統合
Unified CM とのディレクトリ統合
Cisco Unified Communication SRND （Cisco Unified Communications Manager 7.x）
17-26
OL-16394-04-J

Download Report

Chapter 17 LDAP �f�B��N�g��

Paperzz.com

Your Paperzz